Mozilla lanceert eerste bètaversie van 'Persona' website authenticatiesysteem

Mozilla lanceerde donderdag de eerste betaversie van zijn browseronafhankelijke website-authenticatiesysteem, Persona, en hoopt de gemeenschap van webontwikkelaars te overtuigen om het eens te proberen.

Het Persona-systeem werd voor het eerst gelanceerd als een experimenteel project met de naam BrowserID in juli 2011 met als doel het elimineren van de noodzaak van het maken en beheren van individuele gebruikersnamen en wachtwoorden voor verschillende websites.

Persona authenticeert gebruikers tegen websites die het systeem ondersteunen door alleen hun bestaande e-mailadressen te gebruiken.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Gebruikers moeten eerst maken een account op de persona.org-website van Mozilla, definieer een wachtwoord en voeg een of meer e-mailadressen toe aan hun accounts. Het eigendom van elk afzonderlijk e-mailadres wordt geverifieerd door op een verzonden koppeling te klikken.

Daarna kunt u zich aanmelden bij een website die Persona-verificatie ondersteunt slechts een proces van twee klikken is. Gebruikers die nog niet zijn ingelogd op persona.org moeten zowel hun e-mailadres als het Persona-wachtwoord invoeren tijdens het inlogproces, terwijl gebruikers die al zijn geverifieerd alleen worden gevraagd om te selecteren welk geverifieerd e-mailadres ze willen gebruiken.

Persona lijkt qua concept op andere authenticatiesystemen zoals OpenID, die gebruikers ook toestaan ​​om zich op verschillende websites te verifiëren met behulp van geverifieerde identiteiten.

Persona vertrouwt echter op cryptografische operaties met openbare sleutels die op browserniveau worden uitgevoerd zonder de identiteitsprovider - in dit geval de e-mailprovider - betrokken bij het daadwerkelijke authenticatieproces zoals met OpenID.

Dit betekent dat Persona een hoger niveau van privacy biedt, omdat het systeem de activiteit van zijn gebruikers op internet niet bijhoudt. "Het creëert een muur tussen je in te loggen en wat je doet als je er eenmaal bent. De geschiedenis van welke sites u bezoekt, wordt alleen op uw eigen computer opgeslagen, "zei Mozilla op de website persona.org.

Er zijn echter enkele nadelen. Terwijl het elimineren van de noodzaak om afzonderlijke gebruikersnamen en wachtwoorden te onthouden voor elke afzonderlijke website, creëert Persona een enkel punt van mislukking - het persona.org wachtwoord.

Als het Persona-wachtwoord van een gebruiker wordt gestolen, kan het worden gebruikt om hen na te bootsen, Ben Adida, Persona-projectleider bij Mozilla, zei donderdag via e-mail. "Er is natuurlijk geen mogelijkheid."

In dit opzicht verschilt Persona niet erg van applicaties voor wachtwoordbeheer die ook vertrouwen op een hoofdwachtwoord om alle identiteiten van de gebruiker te beschermen. Mozilla is echter van plan enkele extra beschermingsmechanismen te implementeren om dit probleem aan te pakken.

"Voor een betere bescherming werken we aan twee-factor-authenticatie in toekomstige bètaversies," zei Adida. Twee-factor-authenticatie vereist iets dat de gebruiker weet, zoals een wachtwoord, en iets dat de gebruiker heeft, zoals een hardwareapparaat of een mobiele telefoon. Zonder beide elementen te hebben, kan een aanvaller geen toegang krijgen tot een account.

Mozilla heeft ook een sessiebeveiligingsmechanisme geïmplementeerd om de beveiligingsrisico's te beperken die kunnen optreden als de laptop van een gebruiker wordt gestolen terwijl hij nog steeds in persona is ingelogd. org of als een gebruiker vergeet uit te loggen bij persona.org na gebruik van een openbare computer.

"Gebruikers hoeven alleen hun wachtwoord te wijzigen vanaf een andere computer en eventuele bestaande Persona-sessies worden dan geblokkeerd en kunnen niet langer gebruikt om de gebruiker te authenticeren, "zei Adida.

" Wanneer een gebruiker zijn Persona-wachtwoord invoert op een computer die ze nog niet eerder hebben gebruikt, is de sessie in eerste instantie slechts 5 minuten lang, "zei hij. "Als u het verlengt, moet u het wachtwoord opnieuw invoeren. Op dat moment vragen we de gebruiker om ons te vertellen of deze computer van hen is of dat deze openbaar is."

Persona heeft nog een lange weg te gaan totdat het een praktisch authentificatie-alternatief wordt. Ten eerste moet Mozilla websiteontwikkelaars en belangrijke webserviceproviders overtuigen het systeem over te nemen en als een optie in hun websites te implementeren. Om dit te vergemakkelijken, werd in augustus een nieuwe en eenvoudig te gebruiken Persona API (applicatie-programmeerinterface) gelanceerd.

"Als je een ontwikkelaar bent, is het nu het moment om Persona uit te proberen. Persona is een open source project en we verwelkomen graag input en samenwerking van de bredere gemeenschap via onze mailinglijst of ons IRC-kanaal ", zei het Mozilla Identity-team donderdag in een blogpost.